1、在网络层上执行的IPSec保护TCP/IP协议簇中所有IP和更高层的协议,如TCP、UDP、ICMP,甚至保护在IP层上发送通信的自定义协议。保护此层信息的主要好处是所有使用IP传输数据的应用程序和服务均可以使用IPSec保护,而不必修改这些应用程序和服务。旧版的Windows(Windows server 2003之前)在安装完毕后,系统会有默认策略:1、Client(Respond Only)2、Server(Request Security)3、Secure Server(Require Security)你可以指派这些策略,但更多时候需要自己去创建策略,来实现IP的安全。自Window
2、s server 2008/vista之后,微软在防火墙中集成了IPSec,借以大幅度提升Windows主机的网络功能安全性。但在与旧版Windows操作系统混合的环境中使用IPSec,其IP安全策略必须要通过“IP安全策略”工具进行设置,“IP安全策略”工具的使用必须要经过启用微软管理控制台(Microsoft Management Console,MMC),或者通过“本地安全策略”,来设置“IP安全策略”来完成。在“IP安全策略”工具中同时可以建立多个IP安全策略,不过在同一时间中,仅能有一个IP安全策略被启用。因此在设置IP安全策略时,大多会将所需的功能集中在同一个原则中,并且借助建立不
3、同的规则来完成。4 实验任务1、配置“ping策略”,内容为不允许任何计算机ping服务器本机,在命令行下进行测试,比较指派策略和不指派策略的结果。2、配置“端口策略”,内容为阻止139端口,互相访问对方的默认共享,比较指派策略和不指派策略的结果。3、配置“加密数据策略”,内容为对ping的数据包进行加密,比较指派策略和不指派策略的结果。5 实验步骤以下设置假定是包含Windows的旧版本之间的IPSec设置。1、配置“ping策略”(1)Windows Server2008 R2上没有指派防止ping策略,同时防火墙也是关闭的。验证客户机XP可以ping通Windows Server 200
4、8 R2主机。(2)通过“管理工具”的“本地安全策略”,设置防止ping策略。步骤为:第一步:进入“管理IP筛选器表和筛选器操作”,如图1所示。图1 配置管理IP筛选器和筛选器操作第二步,在“管理IP筛选器列表”中选择“添加”,给IP筛选器命名为About Ping,设置源IP地址为“任意IP地址”和目的IP地址为“我的IP地址”,协议为ICMP,完成后如图2所示。图2 设置“管理IP筛选器列表”对话框示意图第三步,设置“管理筛选器操作”,通过“添加”设置“筛选器操作”,命名为“no”,安全方法选择“阻止”,完成后点击“确定”,如图3所示。图3 设置IP筛选器操作示意图第四步,在“创建IP安全
5、策略”中,设置安全策略名称为“阻止ping”,将第二步和第三步设置的IP筛选器列表和筛选器操作选择进来,完成后点击确定。如图4所示。图4 创建“阻止ping”策略第五步,将设置的策略指派,测试效果(自己验证ping的效果)。2、配置“端口策略”阻止139端口(1)由于NetBIOS网络协议的使用,Windows Server2008 R2默认开放TCP的139端口,用于访问网络上计算机共享资源的访问。但139端口的开放,有时候会造成安全隐患,例如使用Telnet,可以匿名登录服务器,从139端口建立连接,如图5所示。接下来可以使用一些工具软件来破解管理员的密码。图5 用Telnet利用139端
6、口建立连接(2)在Windows Server 2008 R2上创建IP安全策略,命名为“封闭139端口”。(3)创建“IP筛选器列表”,命名为“139”,分别设置源IP地址为“任意IP地址”和目的IP地址为“我的IP地址”,协议为TCP,端口号为139,如图6所示。图6 设置IP筛选器封闭139端口示意图(4)设置“筛选器操作”,可以选取1中创建的“no”策略,完成后点击“关闭”,最后点击“确定”按钮,退出设置。(5)将设置的策略指派,验证Telnet不再能够建立连接。如图7所示。图7 telnet连接失败示意图3、配置“加密数据策略”对ping的数据包进行加密(1)在Windows Ser
7、ver 2008 R2上创建创建IP安全策略,命名为“加密ping”,然后在“IP筛选器列表”中使用1中创建的About Ping策略。(2)在“筛选器操作”中“添加”命名为“协商ping”的策略,选择“协商安全”- “不允许不安全的通信” -“完整性和加密”,如图8所示。图8 设置协商安全示意图(3)设置“身份验证方法”,选取“使用此字符串保护密钥交换(预共享密钥)”作为验证时的密钥,密钥可以自己给定。如图9所示。图9 设置身份验证方法及预设共享密钥(4)使用抓包器捕捉网络数据包。这里可以使用微软的Network Monitor:Network Monitor是一个由Microsoft免费提
8、供的具有分析复杂网络通讯能力的工具,它可以通过Microsoft Download下载。该工具是一个具有“捕捉(Capturing)”Windows Server 2008计算机所接收或发送封包的每一个字节的通信协议分析工具。有经验的管理员可以使用Network Monitor针对“网络性能问题”、“TCP连接问题”、“IP通信协议堆栈配置问题”、“因设置网络过滤器所导致的问题”、“以文字为基础的通信协议,例如,HTTP、POP3、SMTP等在应用层所遇到的问题” 等等。Network Monitor通过识别在网络上的不同通信协议,对大量捕捉到的信息执行解析,甚至可以解释大部分应用层的通信协议
9、。可以在 Monitor。这里下载的是3.4的版本。(5)安装成功后,启用“网络监视器”进行ping数据包的捕捉,通过分析没有加密的ping数据包可以看到里面的数据,如图10所示。图10 没有加密的ping数据包示意图(6)在一台主机XP上也设置IPSec。注意:要求验证的两台主机必须使用相同的协议,即两台主机必须设置的一样,否则验证不会成功。(7)再次从XP主机ping主机Windows Server 2008,通过捕捉数据包ping包,打开后是乱码,不具备可读性。如图11所示。图11 IPSec加密ping数据包后的效果示意图如果主机之间均是Windows 2008、Vista、7以上的系
10、统,IPSec的设置可以通过“高级安全Windows防火墙”中的“连接安全规则”来完成。这里以设置加密的ICMP规则为例,来说明设置步骤。假定使用的是Windows 2008 R2和Win 7,注意不要关闭Windows防火墙,否则连接安全规则没有作用。第一步,启用两台计算机中的“高级安全Windows防火墙”中的“入站规则”中的“文件和打印机共享(回显请求 -ICMPv4 -In)”并测试连通性(双方可以ping通,如果没有启用将不能ping通)。设置效果如图12所示。图12 开启“文件和打印机共享”示意图第二步,在Windows Server 2008 R2上,在“高级安全Windows防
11、火墙”中,单击“连接安全规则”-“新建规则”-使用默认“隔离”。如图13所示。图13 新建规则第三步,在要求设置画面中选择“入站和出站连接要求身份验证”,即第三项,表示入、出站都必须采用IPSec,如图14所示。图14 设置验证要求第四步,设置身份验证方法,这里选择“高级”,同时“自定义”,进入如图15所示画面。单击下面的“添加”,设置“预共享密钥”,如图16所示。图15 设置身份验证方法图16 设置预共享密钥第五步,单击“确定”,回到“自定义高级身份验证方法”画面,然后单击“下一步”,选择“何时应用该规则”,最后给规则命名,单击“确定”便完成了在服务器上的设置。第六步,在Win 7上也进行同样的设置,否则两台主机之间将不能连通。设置完成后可以测试两台主机之间的连通性。第七步,可以通过“监视”-“安全关联”-“主模式”| “快速模式”来查看主模式SA或者快速模式SA的相关数据。如图17所示。图17 查看主模式或快速模式最后,可以设置IPSec的属性(右击“本地计算机上的高级安全Windows防火墙”-属性-IPSec设置标签下),使新建的“连接安全规则”都使用该默认值。如图18所示。图18 设置IPSec属性默认值6 实验总结谈谈如何使用IPSec加强网络安全性。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1